.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役社長 足立 達矢)は本日、2026年版ソフォスアクティブアドバーサリーレポートを発表しました。本レポートでは、昨年ソフォスのインシデント対応(IR)チームおよびManaged Detection and Response(MDR)チームが調査した全インシデントの67%が、アイデンティティ関連の攻撃に起因していたことが明らかになりました。この調査結果は、攻撃者が新たなツールや手法を導入することなく、侵害された認証情報、脆弱な多要素認証(MFA)、MFAが未実装であること、アイデンティティシステムの保護が不十分であることを悪用し続けている実態を浮き彫りにしています。
主な調査結果は以下の通りです。
- 脆弱性悪用から認証情報侵害への移行が進み、初期アクセス手法としてブルートフォース攻撃(15.6%)が脆弱性悪用(16%)にほぼ並びました。
- 滞留時間の中央値が3日に短縮されました。これは攻撃者が移動したことによるものですが、防御側の対応が迅速化したことも一因です。なお、この傾向はMDR環境で特に顕著でした。
- 攻撃者がActive Directory(AD)に到達する速度が加速しています。組織内に侵入してからADサーバーに到達するまで、わずか3.4時間しかかかりません。
- ランサムウェアの活動は依然として業務時間外に集中しています。ランサムウェアペイロードの88%は、営業時間外に展開されています。同様に、データ窃取の79%も営業時間外に発生しています。
- テレメトリ不足が防御側の取り組みを阻害しています。データ保持の問題を原因とするログの欠落は、昨年比で倍増しました。この増加は主にファイアウォールアプライアンスが原因で、そのデフォルト保存期間はわずか7日間、場合によっては24時間でした。
MFA導入が不足している中、アイデンティティ攻撃が加速
本レポートでは、認証情報の窃取、ブルートフォース攻撃、フィッシングなど、アイデンティティ侵害を根本原因とする攻撃が継続的に増加していることが示されています。脆弱性の悪用が要因であることに変わりはありませんが、攻撃者は初期アクセスを得るために有効なアカウントを利用する傾向が強まっており、従来型の境界防御を迂回できるようになっています。また、59%のケースでMFAが導入されておらず、これが窃取・侵害された認証情報の悪用を容易にし、組織への侵入を可能にしています。
「本レポートで最も懸念すべき発見は、実は長年にわたり進行していた問題です。すなわち、初期アクセスが成功する根本原因として、アイデンティティ関連の要因が圧倒的に多いという事実です。侵害された認証情報、ブルートフォース攻撃、フィッシングなどの戦術は、単純なパッチ管理では対処できない弱点を悪用しています。組織はアイデンティティセキュリティに対して積極的なアプローチを取る必要があります」と、ソフォスのフィールドCISOであり本レポートの筆頭著者であるJohn Shier(ジョン・シャイヤー)は述べています。
脅威グループの増加とリスクの拡大
ソフォスの研究グループは、本レポート史上最多となるアクティブな脅威グループを確認しました。つまり、脅威環境全体が拡大し、攻撃者の特定がさらに困難になっています。
- 最も活発だったランサムウェアブランドはAkira(GOLD SAHARA)とQilin(GOLD FEATHER)で、Akiraは全インシデントの22%を占めました。
- 全体では51のランサムウェアブランドが確認され、そのうち27が過去にも確認されていたブランド、24が新規ブランドでした。
- 2020年(「アクティブアドバーサリーレポート」データの発表初年度)以降、継続的に活動しているブランドまたは手法は、LockBit、MedusaLocker、Phobos、BitLocker悪用の4つのみです。
Shierは次のように続けます。「法執行機関の取り締まりにより、ランサムウェアのエコシステムで混乱が発生し続けています。LockBitの活動は引き続き確認されていますが、かつての支配力と評判は明らかに損なわれています。しかしこれは、支配権を争う他のグループが多数現れ、さらに多くの新興グループが台頭していることを意味します。防御側の組織を最大限に保護するためには、これらのグループとそのTTP(戦術、手法、手順)を理解することが重要です」
AIへの期待と現実
多くの予測に反し、ソフォスは攻撃者の行動にAIによる大きな変革の兆候を確認できませんでした。生成AIはフィッシングやソーシャルエンジニアリングの手口を高速化・高度化しましたが、根本的に新しい攻撃手法を生み出すには至っていません。
「AIによって攻撃の規模とノイズは増していますが、攻撃者は依然として人間です。将来的に生成AIが次なる加速要因となる可能性はありますが、現時点では基本的な対策こそが重要です。つまり、強固なアイデンティティ保護、信頼性の高いテレメトリ、そして問題発生時の迅速な対応能力が不可欠です」とShierは述べています。
防御策の要点
ソフォスは「アクティブアドバーサリーレポート2026年版」の調査結果に基づき、組織に対して以下の対策を推奨いたします。
- フィッシング対策機能を備えたMFAを導入し、その設定を検証すること
- アイデンティティインフラストラクチャおよびインターネットに公開されているサービスの露出を低減すること
- 既知の脆弱性、特にエッジデバイス上の脆弱性に対して迅速にパッチを適用すること
- MDRまたは同等の機能による24時間365日の監視を確保すること
- 迅速な検知と調査を支援するため、セキュリティログを保存・保持すること
2026年版ソフォスアクティブアドバーサリーレポートでは、2024年11月1日から2025年10月31日までに対処された661件のインシデント対応のケースおよびMDRのケースを分析しました。対象は70か国、34業種にわたる組織です。
レポート全文はこちらからご覧いただけます。